Le 23 avril 2024, la CNIL a publié son rapport annuel. L’année 2023 a été marquée par le 45ème anniversaire de la CNIL et le 5ème de l’entrée en vigueur du Règlement général sur la protection des données (RGPD). Au sein de ce rapport, la CNIL fait le point sur son activité à travers quatre grandes missions dont elle est investie.
Au titre de la protection des droits des individus, on notera que la CNIL a traité 16 433 plaintes, soit 35 % de plus par rapport à l’année précédente. Malgré cette hausse, la CNIL a instruit, pour la deuxième année consécutive, autant de plaintes qu’elle en a reçu. Même s’il est difficile d’établir un constat précis de l’amélioration de son efficacité en raison de la singularité de chaque plainte, on peut tout de même conclure à une accélération du rythme de traitement des plaintes. De surcroît, elle a reçu 20 810 demandes d’exercice de droits indirects via un téléservice dédié, soit une augmentation de 217 % en un an. Ces chiffres témoignent d’une meilleure appréhension des droits protecteurs des données personnelles par les individus.
En outre, s’agissant de sa mission d’accompagnement et de conseil des acteurs dans leur mise en conformité, en 2023, l’accent a été mis sur l’intelligence artificielle (IA), avec un accompagnement renforcé de trois entreprises innovantes et la création d’un « bac à sable » dédié à cette thématique, qui consiste à sélectionner des projets et à les accompagner dans leur sécurisation juridique. Par ailleurs, le nombre de notification pour violation de données est en augmentation depuis 5 ans, avec 4 668 notifications en 2023, soit une augmentation de 14 % par rapport à 2022 mais une diminution de 8 % par rapport à 2021. A cet égard, la CNIL estime que les organismes sont généralement mieux préparés à faire face à ces incidents.
Au titre de sa mission d’innovation et d’anticipation, la CNIL a favorisé l’interaction entre les chercheurs et les régulateurs, notamment via l’organisation de la seconde édition du « Privacy research day » qui a réuni 4439 participants. Elle a également publié une feuille de route sur le thème de l’intelligence artificielle, articulée autour de trois principes fondamentaux : guider le développement d’une IA respectueuse de la vie privée, fédérer et accompagner les acteurs innovants et auditer les systèmes existants pour protéger les personnes.
Enfin, au titre de sa mission de contrôle et de sanction, la CNIL a procédé à 340 contrôles en 2023, aboutissant notamment à 168 mises en demeure et 33 rappels aux obligations légales. 42 sanctions ont été prononcées, soit plus du double par rapport à l’année précédente, dont 36 ayant entraîné des amendes pour un montant global de 89 179 500 euros. Cette augmentation témoigne notamment de l’efficacité de la procédure simplifiée, lancée en 2022, qui s’applique à des dossiers d’une moindre complexité et ne pouvant donner lieu à une amende excédant un montant de 20 000 euros. En effet, 24 des 42 sanctions prononcées l’ont été dans le cadre de la procédure simplifiée, totalisant un montant cumulé de 229 500 euros.
De plus, dans le cadre de la procédure ordinaire, deux sanctions s’élevant respectivement à 40 et 32 millions d’euros ont été prononcées. La première, en date du 22 juin 2023, a visé la société Criteo, spécialisée dans le « reciblage publicitaire », en raison de divers manquements, à savoir l’absence de preuve concernant le recueil du consentement des internautes par ses partenaires dont elle traite les données, la fourniture de données incomplètes lors des demandes d’accès, le défaut de suppression des données lors du retrait du consentement, une politique de confidentialité incomplète et peu claire ainsi que des accord avec ses partenaires ne détaillant pas l’ensemble des obligations requises par le RGPD. La seconde concerne Amazon France Logistique qui a été sanctionné le 27 décembre dernier en raison de la mise en place d’un système de surveillance de la productivité et de l’activité de ses salariés, jugé excessivement intrusif.
Par conséquent, le rapport annuel de la CNIL met en lumière un accroissement des sollicitations de cette institution et du rythme de cette dernière pour tenter d’y répondre. Dans le contexte d’une innovation technologique croissante, l’IA semble s’inscrire au cœur des préoccupations de la CNIL. Cette dernière, dans l’attente du rôle qu’elle sera amenée à jouer dans l’application de l’Artificial Intelligence Act (dénommé l’IA Act), se positionne de manière proactive sur le sujet. Il est fort à parier que l’année 2024 sera également marquée par cette volonté comme l’illustre la publication, le 8 avril 2024, de sept fiches pratiques à destination des organismes pour les accompagner dans leur mise en conformité concernant le développement de systèmes d’IA.